La scène est hallucinante. MKBHD, le célèbre YouTubeur tech, est invité sur la chaîne Veritasium. Il pose son iPhone verrouillé (c’est un détail très important) sur le bureau. À ses côtés, le présentateur Henry van Dyck est muni d’un MacBook, d’un terminal de paiement, d’un smartphone Android et d’un petit boîtier intrigant.
Sans aucune interaction avec l’iPhone, le présentateur réussit, d’un coup, à dérober 10 000 dollars à MKBHD sous le regard médusé de ce dernier. Alors que c’est le smartphone Android qui est présenté au terminal de paiement, c’est l’iPhone qui reçoit une notification de paiement. Et la transaction est traitée le plus normalement du monde par Apple Pay qui affiche dans son historique ce montant exorbitant comme s’il s’agissait d’un achat du quotidien.
« C’est juste vert. Approuvé », commente MKBHD. « Wow, ça a marché », s’étonne-t-il dans la foulée, encore sonné par ce qu’il vient de voir. « Sans déverrouiller mon téléphone, c’est ça la vraie magie. C’est fou ».
Et chose importante à signaler : cette arnaque ne peut cibler qu’Apple Pay qui se révèle ici moins sécurisé que les solutions de paiement mobile disponibles sur Android.
Comment fonctionne cette arnaque ?
Pour comprendre le fonctionnement de cette arnaque, rappelons déjà ce qu’il se passe quand vous payez sans contact avec votre smartphone. Lorsque vous approchez votre téléphone du terminal de paiement, les deux appareils partagent un champ magnétique qui leur permet d’échanger, sans fil, des données.
Tout le principe de l’arnaque consiste à intercepter ces données et à les manipuler. Pour réussir cet exploit, Veritasium pose l’iPhone de MKBHD sur un boîtier NFC appelé Proxmark. Celui-ci est branché à un ordinateur portable sur lequel tourne un script Python conçu en collaboration avec deux spécialistes en cybersécurité : Ioana Boureanu de l’université de Surrey et Tom Chothia de l’université de Birmingham.
C’est ce script Python qui va permettre de modifier rapidement et automatiquement les données de transaction. L’ordinateur envoie à son tour ces données sur le téléphone Android qu’on présente au terminal de paiement.
En bout de course, le lecteur de carte et l’iPhone croient qu’ils sont en train de communiquer directement l’un avec l’autre. En réalité, les données ont été déroutées et falsifiées au travers de plusieurs étapes. C’est le principe d’une arnaque de type man in the middle (« l’homme au milieu » en français).
Mais ça ne s’arrête évidemment pas là. Comme l’explique Henry van Dyck de Veritasium, pendant tout ce processus, il y a en réalité trois barrières de sécurité qu’il faut contourner une à une.
Esquiver le déverrouillage de l’iPhone
Tout d’abord, il faut faire en sorte qu’Apple Pay accepte une transaction sans avoir à déverrouiller l’iPhone. Pour cela, Veritasium s’appuie sur le mode Express déployé par Apple en 2019.
Ce dernier permet de simplifier l’usage d’Apple Wallet quand vous prenez le métro « sans avoir à réactiver ou déverrouiller votre appareil, ni à vous authentifier avec Face ID, Touch ID ou votre code d’accès ». Dans plusieurs villes, il est ainsi possible de payer directement au niveau des tourniquets ou barrières de sécurité.
Pour cela, le lecteur de carte envoie un signal indiquant qu’il s’agit d’un terminal dédié au paiement d’un titre de transport et l’iPhone comprend alors qu’il ne doit pas demander une authentification pour éviter de ralentir l’utilisateur dans les couloirs bondés d’une station.
Or, les deux spécialistes, Ioana Boureanu et Tom Chothia sont allés dans le métro londonien pour analyser les informations que s’échangent à ce moment-là le terminal et l’iPhone pour pouvoir les imiter et les reproduire.
Ainsi, quand on pose l’iPhone sur le boîtier NFC Proxmark, ce dernier peut se faire passer pour un tourniquet de métro et dire à l’iPhone qu’il n’a donc pas besoin de se déverrouiller pour la transaction à venir.
Mentir sur le montant de la transaction
Une fois cette première barrière passée, il faut ensuite mentir sur la somme d’argent. Lors d’un paiement sans contact, les montants sont divisés en deux catégories.
- Valeur faible : pas d’identification demandée à l’utilisateur.
- Valeur élevée : authentification requise par lecteur d’empreintes, reconnaissance faciale ou code PIN.
Pour mener à bien son larcin, l’équipe de Veritasium doit donc faire croire au téléphone que 10 000 dollars est une valeur faible. Comment faire ?
Pour comprendre, il faut se rappeler que l’iPhone ne regarde pas directement le montant de la transaction. Pour interpréter les informations de transaction, il s’appuie sur un code binaire (suite de 0 et de 1).
Dans cette suite de chiffres, il y en a un qui permet de savoir s’il s’agit d’une valeur faible ou élevée. Il faut le voir comme un interrupteur.
- 0 = valeur faible.
- 1 = valeur élevée.
Un simple chiffre, oui. Cela est dû au fait que le seuil au-delà duquel un montant d’argent est considéré comme élevé varie d’un pays à l’autre. Cette méthode basée sur un simple chiffre offre aux systèmes de paiement la flexibilité nécessaire pour jongler entre ces différentes normes et devises à travers le monde.
Grâce au dispositif mis en place, Veritasium peut donc intercepter l’information envoyée par le terminal de paiement, remplacer le 1 par un 0 grâce au script qui tourne sur le laptop et faire croire à l’iPhone que 10 000 dollars représente un achat de faible valeur.
Piéger le terminal de paiement
La dernière étape consiste à piéger le terminal de paiement. En effet, comme l’iPhone pense qu’il opère une transaction d’un petit montant sur une borne de métro, il intègre, dans les informations envoyées au lecteur de carte, que l’opération n’a pas été vérifiée.
Apprenant cela, le lecteur de cartes est donc censé refuser le paiement. Or, là encore, comme toutes les communications sont interceptées, le script de Veritasium peut encore intervenir sur le code binaire.
Là encore, il s’agit de remplacer un 0 par un 1 et envoyer cette information au lecteur de cartes. Pour le dire autrement, on modifie le message pour faire croire au terminal que l’iPhone lui dit « c’est bon, tout est en ordre, une identification a bien été demandée ».
Cette information fausse est transmise à la banque qui croit donc à son tour que la transaction a été bien vérifiée comme il se doit et autorise l’envoi d’argent. « La seule limite, c’est le montant dont dispose la personne sur son compte bancaire », affirme le spécialiste Tom Chothia.
Toutes les données interceptées de la sorte sont d’ailleurs faciles à manipuler puisqu’elles ne sont pas chiffrées. Cela est dû au fait que la méthode de communication entre les téléphones et les terminaux doit être compatible avec pléthore d’appareils dans le monde entier et il serait impossible de les mettre à jour simultanément.
Apple Pay et Visa : la combinaison fatale
Attention, cependant, il est important de noter que cette arnaque ne fonctionne que si la victime utilise Apple Pay et une carte Visa. « C’est vraiment une technique née de la façon dont on combine Apple et Visa », explique l’experte Ioana Boureanu.
Normalement, au niveau des smartphones, des cartes et des terminaux, d’autres mécanismes de défense s’activent et permettent d’empêcher cette escroquerie. C’est dans le cas spécifique d’une combinaison Apple et Visa que seules trois barrières de sécurité doivent être contournées.
Commençons par Apple Pay. Lorsqu’on dit que le téléphone ne connait pas le montant de la transaction et se contente uniquement de savoir s’il s’agit d’une valeur faible ou élevée, ce n’est vrai que pour la solution d’Apple.
Comme l’explique le présentateur de la vidéo, un smartphone Samsung qui utiliserait aussi un mode express dans le métro, va en réalité accepter uniquement des transactions de 0 euro. Il s’appuie ensuite sur les bornes du métro pour compter le nombre de fois où vous avez utilisé les transports en commun puis déclencher, en une seule fois, le paiement à la fin de la journée. Il ne suffit donc pas de changer un 1 par un 0 pour le duper.
En ce qui concerne Visa, il faut savoir que chaque transaction bancaire fait l’objet de nombreux échanges d’informations et de chiffrements de données. Or, les réseaux comme Mastercard ou CB applique une couche de sécurité supplémentaire entre la carte et le terminal de paiement, mais qu’on ne trouve pas chez Visa.
À lire aussi :
Réseau CB : tout comprendre sur l’alternative française à Visa et Mastercard
La réponse de Visa
Notez d’ailleurs que la faille a été découverte en 2021, mais sans être corrigée. Un porte-parole de Visa se défend dans la vidéo en expliquant que cette faille ne semble pas exploitable à grande échelle. Et que, dans le cas où une personne serait victime d’une telle arnaque, elle pourrait facilement se faire rembourser auprès de sa banque.
En espérant évidemment que ça n’arrive à personne.
Les bons plans n’attendent pas : abonnez-vous à notre canal WhatsApp Frandroid Bons Plans ! (zéro spam, promis).
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.